DAS NEUE DATENSCHUTZRECHT TAGESSEMINARAM 11.04€¦ · DAS NEUE DATENSCHUTZRECHT TAGESSEMINARAM 11.04.2018 NACH DER EU-DATENSCHUTZ-GRUNDVERORDNUNG HALLE.LAW, MAXIM-GORKI-STR. 10

DAS NEUE DATENSCHUTZRECHT

TAGESSEMINAR AM 11.04.2018

NACH DER EU-DATENSCHUTZ-GRUNDVERORDNUNG

HALLE.LAW, MAXIM-GORKI-STR. 10. 06114 HALLE (SAALE), EMAIL: [email protected]

EINLEITUNG

Teil I Anwendungsbereich, Ziele und Grundsätze der DS-GVO

Teil II Betroffenenrechte

Teil III Besonderheiten der neuen Auftragsverarbeitung allgemein und Verarbeitung im Nicht-EU-Ausland und in den USA

Teil IV Behandlung von Datenschutzverletzungen, Bestellung eines Datenschutzbeauftragten (intern oder extern), dessen Haftung und Neuregelung zu Sanktionen und Bußgeldern

Teil V Das neue BDSG und Neues zur Videoüberwachung und Datenschutzfolgeabschätzung

Teil VI Datenschutzmanagement – mit Corporate Governance zur Datenschutz Compliance

Teil VII Ausblick


TEIL I

Anwendungsbereich

Ziele

Grundsätze der DS-GVO

TEIL I

ANWENDUNGSBEREICH

Ab dem 25.05.2018 gilt in den europäischen Mitgliedsstaaten die EU-Datenschutz-Grundverordnung

Diese Verordnung gilt für alle Unternehmen und deren Niederlassungen in der Union (räumlicher

Anwendungsbereich), die personenbezogene Daten verarbeiten (sachlicher Anwendungsbereich)

Vortrag richtet sich daher an Unternehmen der Privatwirtschaft, die sog. „Verantwortlichen“, und deren

rechtsberatende Berufsgruppen (persönlicher Anwendungsbereich)

Vortrag soll insbesondere kleinen und mittelständischen Unternehmen einen Einblick in die Materie erleichtern

und einen Überblick über notwenige Schritte zur Umsetzung der Verordnung vermitteln

TEIL I

ZIELE UND DATENSCHUTZSTRUKTUR

Datenschutzziele, Art. 5 DS-GVO

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

• Zweckbindung

• Datenminimierung

• Richtigkeit

• Speicherbegrenzung

• Integrität und Vertraulichkeit

Datenschutz-Governance-Struktur

• Zuweisung der Verantwortlichkeit

• Geeignete Arbeitsteilung und Einsatz qualifizierter Ressourcen

• Zentrale und dezentrale Verteilung von Aufgaben

Datenschutzleitlinien

• Schriftliche Dokumentation der definierten Datenschutzziele und der Governance-Struktur

• Strukturierung z.B. in: Einführung/Motivation, Benennung der Vorschriften, Anweisungen, Zuständigkeiten und/oder Konsequenzen bei Verstößen

Aufbauorganisation

TEIL I

ZIELE UND DATENSCHUTZPROZESSE

Ablauforganisation

Datenschutzkonforme Datenverarbeitung - Zulässigkeit der Verarbeitung

Sicherstellung der Betroffenenrechte - Informationspflicht

Handhabung von Datenschutzverletzungen

TEIL I

GRUNDSÄTZE DER DS-GVO

Zulässigkeit der Verarbeitung

Bei dem Prozess der datenschutzkonformen Datenverarbeitung stellt sich die Frage, welche Anforderungen ein Unternehmen erfüllen muss, damit die Verarbeitung personenbezogener Daten im Einklang mit der DS-GVO steht

Einhaltung der Datenschutzgrundsätze, Art. 5 Abs. 1, 2 DS-GVO

Rechtmäßigkeit der Verarbeitung auf Basis einer Rechtsgrundlage, Art. 6 DS-GVO

Transparenz bei der Erhebung durch angemessene Information der betroffenen Personen, Art. 12 DS-GVO

Sicherheit der Verarbeitung durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen, Art. 24, 32 DS-GVO

TEIL I


Rechenschaftspflicht

„Accountability“

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben,

Transparenz; Zweckbindung

Datenminimierung, Richtigkeit

Speicherbegrenzung; Integrität und Vertraulichkeit

Grundsätze der Datenverarbeitung nach Art. 5 DS-GVO

TEIL I


Rechtmäßigkeit nach Art. 6 DS-GVO Einwilligung und Vertragserfüllung

Berechtigtes Interesse und Schutz lebenswichtiger Interessen

Wahrung öffentlicher Interessen / Etc.

TEIL I


Einwilligung nach Art. 6 Abs. 1 a) DS-GVO

Bedingung für rechtmäßige Verarbeitung personenbezogener Daten aus Katalog des Art. 6 Abs. 1 DS-GVO

Bedingungen für Einwilligung geregelt in Art. 7 DS-GVO

Eindeutige bestätigende und freiwillige Handlung betroffener Person erforderlich (kein Stillschweigen)

Bei mehreren Verarbeitungszwecken, mehrere Einwilligungen erforderlich

Nachweispflicht (extern) und Informationspflicht (gegenüber Betroffenen) des Verantwortlichen

Jederzeitiges Widerrufsrecht betroffener Person, muss ebenso einfach sein wie Erteilung der Einwilligung

Besonderheit: Einwilligung eines Kindes, Art. 8 DS-GVO

TEIL I


Grundsatz des Umgangs mit personenbezogenen Daten für zulässige

Verarbeitung

Datenschutzkonforme Auftragsverarbeitung, u.a. durch geeignete

technische und organisatorische Maßnahmen, Art. 28 DS-GVO

Sicherstellung des Schutzniveaus bei der Übermittlung

personenbezogener Daten in Drittländer, Art. 44 DS-GVO

Dokumentation der Verarbeitungstätigkeiten, Art. 30 DS-GVO

TEIL I


Datenschutzdokumentation

Für die Datenverarbeitung hat der Verantwortliche Dokumente für explizite und für implizite Nachweispflichten

zu führen

Spricht die Verordnung von „Nachweis“, ist dies eine explizite Nachweispflicht (Bsp.: Einwilligung, Identifizierung,

Auftragsverarbeiter)

Von implizite Nachweispflicht spricht man hingegen, wenn der Verantwortliche den Prüfungsanforderungen einer

Aufsichtsbehörde nicht Rechnung tragen kann, ohne über eine entsprechende Dokumentation zu verfügen (Bsp.:

Benennung der Rechtsgrundlage, Sicherheit der Verarbeitung)

TEIL I


Datenschutzdokumentation

Zweck der Dokumentation

Schaffung von Transparenz und Effizienz intern und extern

Sensibilisierung und Schulung von Mitarbeitern

Prozessmanagement der Unternehmensführung

Datenschutzkonformität sicherstellen und nachweisen können

Wesentlicher Bestandteil von Audits

Grundlage für Zertifizierungen

Kommunikationsmittel gegenüber der Aufsichtsbehörde

Vertragsmanagement

Externe Kommunikation gegenüber Dritte

TEIL I


Nicht vergessen: Mitarbeiterdatenschutz

Auch personenbezogene Daten von Mitarbeitern genießen Schutz der DS-GVO

Personenbezogene Daten von Bewerbern

Personenbezogene Daten gegenwärtiger Mitarbeiter

Personenbezogene Daten ausgeschiedener Mitarbeiter

Exkurs: Verfahren, wenn ein Mitarbeiter ausscheidet: Verwehrung von Zugang und Zugriff zu personenbezogenen

Daten


TEIL II

Betroffenenrechte

TEIL II

BETROFFENENRECHTE

Transparenz – Recht auf Information

Informationspflicht für Verantwortlichen bei Erhebung personenbezogener Daten bei Betroffenem, Art. 13:

Name und Kontaktdaten des Verantwortlichen

Ggf. Kontaktdaten des Datenschutzbeauftragten

Zweck der Verarbeitung und Rechtsgrundlage

Ggf. Berechtigte Interessen des Verantwortlichen (bei Verarbeitung nach Art. 6 Abs. 1 f))

Ggf. Empfänger oder Kategorien von Empfängern personenbezogener Daten

Ggf. Absicht des Verantwortlichen der Übermittlung in Drittland (inkl. Grundlage der Übermittlung, siehe Teil III Auftragsverarbeitung)

Speicherdauer

Hinweis auf Rechte betroffener Person (Auskunft, Löschung, Einschränkung, Widerspruch, Widerruf bei Einwilligung, Beschwerde)

Information dazu, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist und welche mögliche Folgen die Nichtbereitstellung hätte

Bestehen automatisierter Entscheidungsfindung, einschließlich Profiling gem. Art. 22 Abs. 1 und 4

TEIL II

BETROFFENENRECHTE


Maßgeblicher Zeitpunkt: bei Erhebung personenbezogener Daten

Sonderregelung Abs. 3:

Bei Absicht, personenbezogene Daten für anderen Zweck weiterzuverarbeiten, als für den diese erhoben wurden:

Verantwortlicher muss Betroffenem bei Weiterverarbeitung anderen Zweck und oben genannte Informationen übermitteln

Einschränkung des Art. 13:

Abs. 4: keine Informationspflicht, wenn/soweit Betroffener bereits über diese Information verfügt

Einschränkung Abs. 3: § 32 BDSG neu bei

Weiterverarbeitung analog gespeicherter Daten bei analoger Kommunikation mit geringem Interesse d. Betroffenen

Beeinträchtigung der Geltendmachung, Ausübung, Verteidigung rechtlicher Ansprüche bei überwiegendem Interesse d. Verantwortlichen

TEIL II

BETROFFENENRECHTE

Transparenz – Recht auf Information

Informationspflicht für Verantwortlichen bei Erhebung personenbezogener Daten nicht bei Betroffenem, Art. 14:

Name und Kontaktdaten des Verantwortlichen

Ggf. Kontaktdaten des Datenschutzbeauftragten

Zweck der Verarbeitung und Rechtsgrundlage

Kategorien personenbezogener Daten, die verarbeitet werden

Empfänger

Speicherdauer

Ggf. Berechtigte Interessen des Verantwortlichen oder Dritten (bei Verarbeitung nach Art. 6 Abs. 1 f))

Hinweis auf Rechte betroffener Person (Auskunft, Löschung, Einschränkung, Widerspruch, Widerruf bei Einwilligung, Beschwerde)

Information dazu, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist und welche mögliche Folgen die Nichtbereitstellung hätte

TEIL II

BETROFFENENRECHTE


Maßgeblicher Zeitpunkt: innerhalb angemessener Frist

Sonderregelung:

Bei Absicht, personenbezogene Daten für anderen Zweck weiterzuverarbeiten, als für den diese erhoben wurden:

Verantwortlicher muss Betroffenem bei Weiterverarbeitung anderen Zweck und oben genannte Informationen übermitteln

Einschränkung des Art. 14:

Abs. 5: keine Informationspflicht, wenn/soweit Betroffener bereits über diese Information verfügt

oder Erteilung dieser Information unmöglich/unverhältnismäßiger Aufwand (insb. bei Verarbeitung zu Archivzwecken im öff. Interesse, wissensch./hist. oder statistische Zwecke)

oder Erlangung/Offenlegung durch Gesetz, dem Verantwortlicher unterliegt, ausdrücklich geregelt

oder Daten unterliegen gem. Gesetz Berufsgeheimnis und müssen vertraulich behandelt werden

§ 33 BDSG: wenn Beeinträchtigung der Geltendmachung, Ausübung, Verteidigung zivilrechtlicher Ansprüche

TEIL II

BETROFFENENRECHTE

Recht auf Auskunft, Art. 15 (dazu sogleich)

Recht auf Berichtigung unrichtiger personenbezogener Daten, Art. 16

Recht auf Löschung („Recht auf Vergessenwerden“), Art. 17 (dazu sogleich)

Recht auf Einschränkung der Verarbeitung, Art. 18

Recht auf Datenübertragbarkeit, Art. 20

Recht auf Widerspruch, Art. 21 (dazu sogleich)

Recht, nicht einer automatischen Einzelentscheidung unterworfen zu sein, Art. 22

Recht auf Widerruf einer Einwilligung, Art. 7

TEIL II

BETROFFENENRECHTE

Recht auf Auskunft, Art. 15

Betroffener hat Recht, Bestätigung zu verlangen, ob personenbezogene Daten von ihm verarbeitet werden

Wenn dem so ist, hat er Recht auf Auskunft über diese Daten und folgende Information:

Verarbeitungszwecke

Kategorien personenbezogener Daten

Empfänger, insb. bei Empfängern in Drittländern (dann entsprechende geeignete Garantien)

Bestehen des Rechts auf Berichtigung oder Löschung und Beschwerde

Herkunft der Daten (wenn Erhebung durch Dritte)

Bestehen automatisierter Entscheidungsfindung einschließlich Profiling

TEIL II

BETROFFENENRECHTE

Recht auf Auskunft, Art. 15

Verantwortlicher stellt Kopie personenbezogener Daten zur Verfügung (erste ist unentgeltlich)

Bei elektronischem Antrag: Informationen in gängigem elektrischem Format zur Verfügung zu stellen

Hierbei Rechte und Freiheiten anderer Personen (Geschäftsgeheimnisse oder Rechte des geistigen Eigentums, z.B.

Urheberrecht an Software) beachten

TEIL II

BETROFFENENRECHTE

Recht auf unverzügliche Löschung bei Vorliegen von Löschungsgrund, Art. 17 Abs. 1

Wegfall des Zwecks

Widerruf der Einwilligung und fehlen anderer Rechtsgrundlage

Widerspruch gegen Verarbeitung gem. Art. 21

Unrechtmäßigkeit der Verarbeitung

Löschung zur Erfüllung gesetzlicher Verpflichtung, der Verantwortlicher unterliegt, erforderlich

Verarbeitung aufgrund Einwilligung eines Kindes gem. Art. 8 Abs. 1

TEIL II

BETROFFENENRECHTE

Ausnahmen zu Art. 17 Abs. 1:

freie Meinungsäußerung

Erfüllung einer rechtlichen Verpflichtung, der Verantwortlicher unterliegt

öffentliches Interesse

Archivzweck

Forschungszweck

Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Nach § 35 BDSG:

Bei Unmöglichkeit oder unverhältnismäßig hohem Aufwand der Löschung und geringem Interesse des Betroffenen bei nicht automatisierter Datenverarbeitung

Wenn Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen

TEIL II

BETROFFENENRECHTE

Recht auf Einschränkung der Verarbeitung, Art. 18

Datenverarbeitung dann nur mit Einwilligung oder zur Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen oder zum Schutz anderer natürlicher/juristischer Person oder aus wichtigem öffentlichen Interesse

Bei Vorliegen folgender Voraussetzungen:

Richtigkeit der personenbezogenen Daten wird von Betroffenen bestritten

Unrechtmäßigkeit der Verarbeitung, wobei Betroffener Löschung ablehnt

Verarbeitungszweck entfallen, aber Betroffener diese zur Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen benötigt

Einlegung eines Widerspruchs gegen Verarbeitung gem. Art. 21 Abs.1, bis feststeht, ob berechtigte Gründe des Verantwortlichen überwiegen

TEIL II

BETROFFENENRECHTE

Widerspruchsrecht, Art. 21

Jederzeitiges Widerspruchsrecht d. Betroffenen gegen Verarbeitung aufgrund von Wahrnehmung einer Aufgabe im

öffentlichen Interesse oder zur Ausübung öffentlicher Gewalt und Verarbeitung aufgrund Wahrung berechtigter Interessen

des Verantwortlichen oder Dritten, sofern nicht Interessen/Grundrechte/Grundfreiheiten d. Betroffenen überwiegen

Verantwortlicher verarbeitet Daten nicht mehr

Ausnahme: Nachweis zwingender schutzwürdiger Gründe für Verarbeitung, die Interessen/Rechte/Freiheiten des Betroffenen

überwiegen

Jederzeitiges Widerspruchsrecht bei Verarbeitung für Direktwerbung und Profiling

Verantwortlicher verarbeitet Daten nicht mehr

TEIL II

BETROFFENENRECHTE

Antrag

Tätig werden = ja

Maßnahmen ergreifen

Unverzügliche Unterrichtung über ergriffene Maßnahmen,

spätestens aber innerhalb eines Monats

Tätig werden= nein

Unverzügliche Unterrichtung unter Angaben der Gründen,

spätestens aber innerhalb eines Monats

Dies erfordert eine strukturierte und systematische Annahme von Anträgen, eine angemessene

Verifikation der Identität und konsistente Bearbeitung von Anträgen

Anträge von Betroffenen

TEIL II

BETROFFENENRECHTE

Maßnahmen zur Umsetzung

Implementierung eines zentralen Annahmeprozesses für Anfragen und Anträge

Implementierung eines Rückmeldeprozesses

Implementierung von Eskalationsverfahren

Verfolgung des Fortschritts/ Bearbeitungsstandes und Dokumentation

Arbeitsschritte: Erfasst – Geprüft – Ausgewertet – Erstellt – Bearbeitet


TEIL III

Auftragsverarbeitung allgemein

Verarbeitung im Nicht-EU-Ausland

Verarbeitung in den USA

TEIL III

AUFTRAGSVERARBEITUNG

Nach Art. 4 Nr. 8 DS-GVO ist Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung

oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet

Typischer Bereich: Cloud-Computing, IT-Wartung

Haftung des Auftragsverarbeiters in Art. 82 Abs. 2 S. 2 DS-GVO geregelt:

Haftung des Auftragsverarbeiters dann, wenn auferlegten Pflichten nicht nachgekommen ist oder rechtmäßig erteilte

Anweisungen des Verantwortlichen nicht beachtet wurden oder gegen diese Anweisungen gehandelt wurde

Beispiele: ohne Zustimmung des Verantwortlichen darf kein Unterauftragsverarbeiter miteinbezogen werden,

Auftragsverarbeiter darf nur im Rahmen der dokumentierten Weisungen des Verantwortlichen Daten verarbeiten,

Auftragsverarbeiter muss sicherstellen, dass Personen, die zur Verarbeitung von personenbezogenen Daten

autorisiert sind, sich zur Vertraulichkeit verpflichtet haben oder Auftragsverarbeiter muss dokumentieren

TEIL III


• Verantwortlicher

• Muss Datenschutzverpflichtung unterschreiben lassen

Vertrag

• Auftragsverarbeiter

• Muss Datenschutzverpflichtung unterschreiben und unterschreiben lassen

• Haftet für Unterauftragsverantwortlicher

Vertrag• Unterauftragsverarbeiter

• Muss Datenschutzverpflichtung unterschreiben

Datenverarbeitung

TEIL III


Datenschutz-Audit bei Auftragsverarbeitung

Jede Auftragsverarbeitung bedarf eines Vertrages!

Daraus muss hervorgehen, dass:

Personenbezogene Daten nur auf dokumentierte Weisung von Seiten des Verantwortlichen verarbeitet werden

Das Personal des Auftragsverarbeiters zur Vertraulichkeit verpflichtet ist

Der Schutz der Verarbeitung eingehalten wird

Dem Verantwortlichen die Sicherstellung der Rechte der Betroffenen mittels technischer und/oder organisatorischer

Maßnahmen ermöglicht wird

TEIL III


Auftragsverarbeitung im Nicht-EU-Ausland

Bei Absicht, personenbezogene Daten in Drittland zu übermitteln, muss Betroffenen informieren

Verantwortlicher muss garantieren, Daten DS-GVO- konform zu behandeln

Kommission beschließt gem. Art. 45 DS-GVO, dass Drittland angemessenes Schutzniveau bietet

Aktuell: Norwegen, Island, Liechtenstein, Andorra, Argentinien, Kanada, Schweiz, Färöer-Inseln, Guernsey, Israel,

Isle of Man, Jersey, Neuseeland, Uruguay (Webseite der Kommission)

Datenübermittlung vorbehaltlich geeigneter Garantien gem. Art. 46 DS-GVO (z.B. Vertragsklauseln)

Datenübermittlung gem. Art. 49 DS-GVO (Ausnahmekatalog, bes. wichtig: ausdrückliche Einwilligung des

Betroffenen nach Unterrichtung über mögliche Risiken)

TEIL III


Besonderheit: Verarbeitung in den USA

Annahme EU-Kommission am 12.07.2016: EU-US Datenschutzschild, engl.: Privacy Shield

Im Rahmen des Privacy Shields verpflichten sich US-Unternehmen die in den Dokumenten festgelegten

datenschutzrechtlichen Vorgaben einzuhalten

US-Handelsministerium erteilt Bescheinigungen und trägt in entsprechende Liste auf Webseite ein

Bei erfolgter Zertifizierung wird angemessenes Datenschutzniveau fingiert

Somit keine geeigneten Garantien mehr erforderlich

Einzusehen auf Privacy-Shield-Liste aktuell 2788 Unternehmen


TEIL IV

Behandlung von Datenschutzverletzungen

Bestellung eines Datenschutzbeauftragten

Haftung des Datenschutzbeauftragen

Aufsichtsbehörden

Neuregelung zu Sanktionen und Bußgeldern

TEIL IV

BEHANDLUNG VON DATENSCHUTZVERLETZUNGEN

Eine Verletzung des Schutzes personenbezogener Daten ist gemäß Art. 4 Nr. 12 DS-GVO eine

Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung oder zur unbefugten

Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt

Ein Verantwortlicher muss in der Lage sein, sofort festzustellen, ob eine Datenschutzverletzung vorliegt

und die Aufsichtsbehörde und die Betroffenen umgehend zu unterrichten

TEIL IV


Inhalt der Meldung

Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle

Art der Verletzung des Schutzes personenbezogener Daten

Kategorien und ungefähre Anzahl von betroffenen Personen und von personenbezogenen Datensätze, soweit

möglich

Wahrscheinliche Folgen der Verletzung

Vom Verantwortlichen ergriffene oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf.

Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen

TEIL IV


Zweistufiges Vorgehen bei Datenschutzverletzungen

> Reaktionsplanung bei Datenschutzverletzungen

TEIL IV


Zweistufiges Vorgehen bei Datenschutzverletzungen

TEIL IV

DATENSCHUTZBEAUFTRAGTER

Rolle des Datenschutzbeauftragten:

Unterstützung der Verantwortlichen und Auftragsverarbeiter bei der Überwachung der internen Einhaltung der

Bestimmungen der DS-VGO und des neuen Bundesdatenschutzgesetzes

„Anlaufstelle“ für die Aufsichtsbehörde mit der Verarbeitung zusammenhängenden Fragen

Fungiert als Berater für betroffene Personen

Der Datenschutzbeauftragte kann freiwillig benannt werden oder es besteht eine Benennungspflicht

TEIL IV


Benennungspflicht

Verantwortliche oder Auftragsverarbeiter müssen einen Datenschutzbeauftragten benennen gemäß Art. 37 Abs. 1

DS-GVO, wenn

Die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs

und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen

erforderlich macht (z.B. Social Media Plattformen)

Oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DS-GVO (Daten,

die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten

usw.)oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht (z.B. private Labore

oder private Krankenhäuser, insbesondere mit Transplantationsschwerpunkt oder Unternehmen, die in anderen

Unternehmen die Funktion der Personalabteilung ausübt)

TEIL IV


Benennungspflicht

In Deutschland hat der Gesetzgeber die Benennungspflicht erweitert, so heißt es in § 38 BDSG neue Fassung:

(I) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und

der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel

mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen

der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel

35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck

der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie

unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen

Datenschutzbeauftragten zu benennen.

Dies wird eine Vielzahl von Unterhemen betreffen!

TEIL IV


Voraussetzungen für die Bestellung

Bestellt werden können interne und externe Datenschutzbeauftragte, die neben dieser Tätigkeit andere Aufgaben

und Pflichten wahrnehmen können

Er muss die erforderliche Fachkunde und Zuverlässigkeit besitzen

Für die erforderliche Fachkunde braucht es berufliche Qualifikation, Fachwissen und die Eignung. Diese erreicht

man durch langjährige Tätigkeiten im Bereich des Datenschutzes oder durch Schulungen

Die Zuverlässigkeit umfasst die persönliche Integrität, so kann keiner Datenschutzbeauftragter sein, der schon

wegen Verstößen gegen das Datenschutzgesetz aufgefallen ist oder in einem Interessenkonflikt steht

(Geschäftsführer, Vorstand, leitendes Personal)

TEIL IV


Stellung eines Datenschutzbeauftragten

Der Datenschutzbeauftragte ist Anlaufstelle, Berater und Unterstützer, er ist daher frühzeitig und ordnungsgemäß

in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen durch Verantwortliche und

Auftragsverarbeiter einzubinden

Wiederum müssen Verantwortliche und Auftragsverarbeiter den Datenschutzbeauftragten unterstützen (z.B.

Zugang zu Verarbeitungsvorgängen gewähren oder Mittel bereit stellen)

Der Datenschutzbeauftragte ist unabhängig, er unterliegt der Weisungsfreiheit (im Bezug auf seine

Datenschutzaufgaben), dem Benachteiligungsverbot (Kündigungsschutz) und der Berichtpflicht gegenüber der

Managementebene

TEIL IV


Aufgaben des Datenschutzbeauftragten

Unterrichtung und Beratung des Verantwortlichen und des Auftragsverarbeiters

Überwachung des Datenschutzes (Einhaltung der geltenden Normen)

Umstritten: Sensibilisierung und Schulung, es sollte dazu eine vertragliche Vereinbarung aufgesetzt werden

Zusammenarbeit mit der Aufsichtsbehörde (Austausch von Informationen, Datenschutz-Folgenabschätzung)

Problem: Doppelnatur des Datenschutzbeauftragten – Er steht zwischen Aufsichtsbehörde und Verantwortlichen

oder Auftragsverarbeiter

TEIL IV


Abberufung des Datenschutzbeauftragen

Nachträglicher Wegfall der Benennungspflicht, etwa weil nur noch acht Personen ständig mit der automatisierten

Verarbeitung personenbezogener Daten beschäftigt sind

Eingetretene Unzuverlässigkeit

Wegfall des Fachwissens (z.B. durch Krankheit)

Umstritten: bei Nicht- oder Schlechtleistung – überwiegend nur als aller letztes Mittel vorgesehen und geht mit

der Unzuverlässigkeit so sehr einher, dass man die Nicht- oder Schlechtleistung nicht als eigenständiges

Abberufungsmittel benötigt

TEIL IV


Haftung des Datenschutzbeauftragten

Interner Datenschutzbeauftragter: Haftung im Innenverhältnis aus Pflichtverletzung

des Arbeitsvertrags – Haftungserleichterung durch die Grundsätze zum

innerbetrieblichen Schadensausgleich

Externer Datenschutzbeauftragter: Pflichtverletzung unter dem

Geschäftsbesorgungsvertrag ohne Haftungserleichterung

TEIL IV

AUFSICHTSBEHÖRDE

Aufgaben der Aufsichtsbehörde

Die Anwendung der DS-GVO zu überwachen und durchzusetzen

Anfragen und Beschwerden von Betroffenen zu bearbeiten

Unternehmen bzgl. Ihrer Datenschutzpflicht zu sensibilisieren

Untersuchungen über die Anwendung des DS-GVO durchzuführen

TEIL IV

AUFSICHTSBEHÖRDE

Befugnisse der Aufsichtsbehörde

Beschwerdeprüfung

Konzeptionsprüfung

Angemessenheitsprüfung

Wirksamkeitsprüfung

Abhilfebefugnis (Verwarnungen, Verbote oder Geldbußen)

Genehmigungs- und Beratungsbefugnisse

TEIL IV

NEUREGELUNGEN ZU SANKTIONEN UND BUßGELDERN

Bußgelder der Datenschutzbehörde (Art. 83 f. DS-GVO)

bis zu 20 Mio. EUR

bis zu 4% des Konzern-Weltumsatzes

je nach dem, welcher Wert höher ist

bisher maximal 300.000 EUR

Strafvorschriften können die Mitgliedsstaaten per nationalem Recht regeln

Weitere Sanktionsmöglichkeiten:

Anordnungen, Rügen, Anweisungen, begrenztes oder endgültiges Verbot der Datenverarbeitung


TEIL V

Das neue BDSG – was ändert sich?

Neues zur Videoüberwachung, Datenschutzfolgeabschätzung

TEIL V

DAS NEUE BDSG

Was ändert sich?

Altes BDSG tritt am 25.05.2018 außer Kraft

Zeitgleich tritt das Datenschutz-Anpassungs- und –Umsetzungsgesetz EU (DSAnp-UG-EU) in Kraft – ein Artikelgesetz, welches seinerseits ein neues BDSG einführt

Grundsätzlich gilt: Anwendungs- und Geltungsvorrang von EU-Recht

(DSGVO geht nationalem Datenschutzrecht vor)

Aber: DSGVO enthält zahlreiche Öffnungsklauseln, von denen der dt. Gesetzgeber Gebrauch gemacht hat

Deshalb gilt: BDSG (neu) flankiert DSGVO, präzisiert und konkretisiert sie

TEIL V

DAS NEUE BDSG

Neuregelungen zur Videoüberwachung (dazu sogleich)

Präzisierung der Verarbeitung von besonderen Kategorien personenbezogener Daten, hauptsächlich

Gesundheitsdaten (§ 22 BDSG neu)

Vorschriften zur Datenverarbeitung bei wissenschaftlichen, historischen und statistischen Zwecken (§ 27 BDSG

neu)

die zulässige Zweckänderung bei der Datenverarbeitung wird ergänzt (zur Gefahrenabwehr für die staatliche und

öffentliche Sicherheit, zur Strafverfolgung und zur Ausübung oder Verteidigung zivilrechtlicher Ansprüche, § 24

BDSG neu)

TEIL V

DAS NEUE BDSG

Neuregelung des Beschäftigten-Datenschutzes (§ 26 BDSG neu)

explizite Bezugnahme auf Tarifverträge und Betriebsvereinbarungen

Präzisierung der Freiwilligkeit von Einwilligungen

ansonsten weitestgehend bisherige Regelung übernommen

Regelungen zu Scoring und Auskunfteien (§ 31 BDSG neu)

TEIL V

DAS NEUE BDSG

Einschränkung von Informationspflichten, Auskunfts- und Löschpflichten (§§ 32 ff. BDSG neu)

präzisiere Regeln zur automatisierten Einzelentscheidung bei Versicherungen (§ 22 BDSG neu)

Pflicht zur Datenschutz-Folgeabschätzung für Markt- und Meinungsforschungsinstitute (§ 38 BDSG neu)

verschärfte Regeln zum Datenschutzbeauftragen (wie vor)

TEIL V

VIDEOÜBERWACHUNG

geregelt in § 4 BDSG neu

prinzipiell gilt: bisher bekannte Regeln nach § 6b BDSG alt gelten fort

aber: erhebliche Erleichterungen für Überwachung "öffentlich zugänglicher großflächiger Anlagen"

Sportanlagen, Versammlungsstätten, Vergnügungsparks, Parkplätze, EKZ, etc.

TEIL V

VIDEOÜBERWACHUNG

Zulässigkeit von Videoüberwachung:

zur Aufgabenerfüllung öffentlicher Stellen

zur Wahrnehmung des Hausrechts

zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke

soweit erforderlich

kein Überwiegen schutzwürdiger Interesse der Betroffenen

TEIL V

VIDEOÜBERWACHUNG

Informationspflichten des Überwachers:

auf Videoüberwachung muss hingewiesen werden (z.B. durch Schilder)

Name und Kontaktdaten des Überwachers müssen kenntlich gemacht werden

geeignete Maßnahmen genügen

zum frühestmöglichen Zeitpunkt

TEIL V

DATENSCHUTZFOLGEABSCHÄTZUNG

Art. 35 DS-GVO

Begriff:

spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher

Personen bei der Verarbeitung personenbezogener Daten

Voraussetzungen:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs,

der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten

natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen

Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

TEIL V


Insbesondere:

systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte

Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung

gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen

umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 DS-GVO

(biometrische Daten, Gesundheitsdaten o.Ä.) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und

Straftaten gemäß Artikel 10 DS-GVO

systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

TEIL V


Risiko für Schadenseintritt insbesondere durch

Identitätsdiebstahl

Diskriminierung

Finanzieller Verlust

Rufschädigung

Hinderung an der Datenkontrolle

Profilbildung inkl. Geodaten

TEIL V


Welche Datenverarbeitungen sind konkret betroffen?

Enthalten in “Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a

high risk” for the purposes of Regulation 2016/679”

Beispielsweise:

Daten zur Bewertung, zum Scoring oder zum Profiling, insbesondere in den Bereichen Arbeit, wirtschaftliche Situation, Gesundheit,

persönliche Vorlieben und Interessen, Bonität, Verhaltensweisen, Aufenthaltsort

Verarbeitung sensibler Daten wie beispielsweise Gesundheitsdaten

Daten schutzbedürftiger Personen wie Kindern, älteren Menschen, Patienten oder Mitarbeitern

IoT-Daten („Internet of Things“)

Datentransfers außerhalb der EU

usw.

TEIL V


Inhalt der Datenschutzfolgeabschätzung:

eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls

einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen

eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck

eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen

die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und

Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese

Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger

Betroffener Rechnung getragen wird


TEIL VI

Datenschutzmanagement

Corporate Governance

Risikomanagement

Datenschutzcomliance

Datenschutzbewusstsein schaffen

TEIL VI

CORPORATE GOVERNANCE UND MANAGEMENTSYSTEM

Corporate Governance und Managementsystem

Unter dem Begriff Governance wird das Steuerungs- und Regelungssystem im Sinne von Strukturen einer Einheit

bzw. Organisation verstanden. Dabei gelten im Bereich des Datenschutzes die Grundsätze:

Rechenschaftspflicht

Verantwortlichkeit

Offenheit und Transparenz von Strukturen und Prozesse

Anständigkeit

Das Managementsystem sollte sich dabei an die „Internationale Organisation für Normung“ (ISO) orientieren

TEIL VI

DATENSCHUTZRISIKOMANAGEMENT

Risikobezug in der DS-GVO

Risikomanagement

TEIL VI

DATENSCHUTZRISIKOMANAGEMENT

Risikobezug in der DS-GVO

Physischer, materieller oder immaterieller Schaden (Diskriminierung, Rufschädigung, finanzieller Verlust oder

Identitätsdiebstahl)

Einschränkung der Rechte (Betroffene werden daran gehindert eigene personenbezogene Daten zu kontrollieren)

Sensible Daten (Gesundheitsdaten, genetische Daten, Strafrechtliche Verurteilungen)

Profilerstellung (Arbeitsleistungen, wirtschaftliche Lage, Gesundheit)

Besonders schutzbedürftige Personen (Daten von Kindern)

Große Reichweite (Menge an Daten oder Anzahl von Personen)

TEIL VI

RISIKOMANAGEMENT

Risikomanagementgrundsätze

Risikomanagementsystem

Risikomanagementprozess

TEIL VI

RISIKOMANAGEMENT

Grundsätze

Schafft Werte

Ist integraler Bestandteil aller Geschäftsprozesse

Ist Teil der Entscheidungsfindung

Adressiert gezielt die Unsicherheit

Ist systematisch, strukturiert und zeitgerecht

Basiert auf den bestverfügbarsten Informationen

Ist maßgeschneidert

Berücksichtigt soziale und kulturelle Faktoren

Ist transparent und integrativ

Ist dynamisch, iterativ und reagiert gezielt auf Veränderungsprozesse

Erleichtert kontinuierliche Verbesserung

TEIL VI

RISIKOMANAGEMENT

Auftrag und Selbstverpflichtung

Entwicklung eines Systems für das Managen von Risiken (PLAN)

Einführung des Risikomanagements (DO)

Überwachung und Überprüfung des Systems (CHECK)

Kontinuierliche Verbesserung des Systems (ACT)

TEIL VI

RISIKOMANAGEMENT

Prozess

Festlegung des Kontextes

Risikobeurteilung

Risikobehandlung

Risikoüberwachung und –überprüfung

Risikokommunikation und -konsultation

TEIL VI

DATENSCHUTZCOMPIANCE

Was muss die Geschäftsführung nun beachten?

Compliance mit der EU-Datenschutz-Grundverordnung ist „Chefsache“

Interdisziplinäres Team zusammenstellen

Sich mit der Datenschutz-Grundverordnung vertraut machen

Bestandsaufnahme

Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten

Überprüfung der Rechtsgrundlagen für die Verarbeitung

Überprüfung der Informations- und Mitteilungspflichten

Überprüfung der technischen und organisatorischen Maßnahmen

TEIL IV

DATENSCHUTZCOMPLIANCE

Was muss die Geschäftsführung nun beachten?

Überprüfung der Auftragsverarbeitung, insbesondere die Verschwiegenheitsverpflichtungen

Überprüfung der Übermittlung in Drittländer

Datenschutz prozessorientiert und risikobasiert betrachten

Die zuständige Aufsichtsbehörde konsultieren

Möglicherweise einen Datenschutzbeauftragten schulen und/oder benennen

TEIL VI

DATENSCHUTZBEWUSSTSEIN

Datenschutz

bewusstsein

Sensibilisierung (Aufmerksam

machen)

Schulung (Lösungen vermitteln)

Training (Lösungen üben)

Datenschutzsensibilisierung, -training und -schulungen


TEIL VII

Ausblick

TEIL VII

AUSBLICK

Datenschutz Datenschutzmanagement Datenschutzmanagementsystem

TEIL VII

AUSBLICK

Der Datenschutz wird sich zu einen Datenschutzmanagementsystem weiterentwickeln und mehr sein,

als die Summe der Normen, die den Datenschutz umfassen

Es wird ein gesellschaftlich Vorausgesetztes und gelebtes Selbstverständnis für Unternehmen werden

Möglicherweise werden Unternehmen sich höhere Maßstäbe setzten, als gesetzlich Notwendig ist, um

sich von Konkurrenten abzusetzen und Vertrauen am Markt zu gewinnen

ENDE

Vielen Dank für Ihre Aufmerksamkeit!Sie erreichen uns unter: [email protected]

Diese Keynote können Sie hier herunterladen: https://bit.ly/2qqgo11

Documents

DAS NEUE DATENSCHUTZRECHT TAGESSEMINARAM 11.04€¦ · DAS NEUE DATENSCHUTZRECHT TAGESSEMINARAM 11.04.2018 NACH DER EU-DATENSCHUTZ-GRUNDVERORDNUNG HALLE.LAW, MAXIM-GORKI-STR. 10